TUTORIAL DE QUALYSGUARD V6.7 
MODULO DE VULNERABILITY MANAGEMENT 


Haz login en el sitio https://qualysguard.qualys.com. Lo primero que verás es esta 
pantalla. 
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Use the links below to get started using QualysGuard 
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Para que la ventana de QuickStart no aparezca, haz click en “Do not show this window 
on start-up". 


La pantalla que ves es el Knowledgebase, o sea la base de datos de vulnerabilidades 
de QualysGuard. Para que ésta se vea mejor, ve al menü superior "view" luego 
selecciona “columns” y deselecciona “CVE ID". Espera a que se actualice la página, y 
luego deselecciona "vendor reference". De esta forma el Knowledgebase se verá más 
compacto. 


Así se ve tu pantalla ahora: 
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Puedes hacer búsquedas del Knowledgebase haciendo click “Search” en el menú 
superior de la ventana. El Knowledgebase se actualiza en forma automática. El “QID” 
es el número que identifica la vulnerabilidad en la base de datos. 


Este es un sumario de cada opción de la barra de menús de la izquierda: 


e Dashboard: Te permite ver un resumen gráfico de varias variables, tal como 
vulnerabilidades por nivel de severidad, y por status. 

e Map: Lanzamiento de mapas para descubrimiento de IPs en la red 

e Scan: Lanzamiento de scans de vulnerabilidades y de cumplimiento de normas 

e Schedule: Agendar mapas y scans 

e Report: Generación de reportes 

e Remediation: Sistema de tickets de remediación 

e Asset Search: Búsqueda de máquinas en base a parámetros como IP, sistema 
operativo, o servicios que esté corriendo 

e Risk Analisis: Para descubrir en forma rápida si una IP contiene una 
vulnerabilidad en particular 

e Asset Groups: Creación de grupos de activos 


User accounts: Creación de cuentas de usuario 

Search Lists: Creación de filtros para seleccionar vulnerabilidades y usarlas en 
scans, reportes, o generación de tickets 

Option Profiles: Perfiles de configuración de los mapas y scans 

Scanner appliances: Administración de las appliances ligadas a tu cuenta 
Host Assets: Lista de IPs en tu cuenta 

Domain Assets: Lista de dominios 

Remediation Policy: Reglas de remediación para la creación automática de 
tickets 

Authentication: Creación de records de autenticación para permitirle a 
QualysGuard el acceso a las máquinas a ser escaneadas 

Business units: Creación de unidades de negocios para agrupar grupos de 
activos y usuarios 

Virtual Hosts: Lista de sitios web virtuales hospedados en una sola IP 
Knowledgebase: Base de datos de vulnerabilidades 

Activity Log: Bitácora 


En la esquina superior derecha puedes ver cuatro candados. Cuando está rojo, indica 
que tienes ese módulo activado. VM es el módulo de Vulnerability Management; PCI es 
el módulo de la norma PCI (Payment Card Industry), PC es el módulo de Policy 
Compliance, y WAS es el módulo de Web Application Scanner. 


El siguiente diagrama muestra el ciclo de configuración y uso del módulo de 
Vulnerability Management. 


Reportar Escanear 


Remediar 


AGREGAR RANGOS DE IPs AL DOMINIO "NONE" 


Dentro de QualysGuard, todas las IPs que vayamos a mapear y escanear deben 
pertenecer a algün dominio. El procedimiento más sencillo es agregar al dominio "none" 
todos los rangos de IPs internas y externas que vayamos a utilizar. 


En la barra de menú izquierdo haz click en “Domain Assets". Luego en el menú 
superior de esa ventana, ve a “New”, y luego “Domains...”. 


Si en la empresa usan rangos de IPs internas del tipo 192.168.x.x, entonces en la 
ventana de texto escribe exactamente lo siguiente: 


none:[192.168.0.0-192.168.255.255] 


La ventana se verá así: 


Edit Domain - Windows Internet Explorer -loj xj 
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Edit Domain 


General Information 
Domain Name: * [none 
Associated Netblocks: 192.168.0.0-192.168.255.255 
z| Whois | 
(ex: 192.168.0.87-192.168.0.92, 192.168.10.10-192.168.10.42) 
Approved Hosts 
Create a list of hosts that are approved to appear on this domain. 
Approved Hosts: Configure 
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Nota que estamos poniendo el rango entero. Esto no quiere decir que vayamos a 
escanear todas las IPs dentro del rango; lo único que estamos haciendo es decir que el 
rango de IPs 192.168.0.0-192.168.255.255 tiene el nombre de dominio “none”. 


Si en la empresa usan algún otro rango en lugar de este, lo puedes poner por ejemplo 
así: 


none:[10.1.0.0-10.1.255.255] 


O cualquiera que sea el rango. Nótese que en QualysGuard no puedes usar 
abreviaciones de ningún tipo en el rango de IPs, ni asteriscos, ni notación CIDR. 


Haz click en “Add”, “OK”, y “Close”, y verás que el dominio “none” aparece en la lista de 
Domain Assets. Al lado del nombre de “none” hay un cuadernito y lápiz; este es el 
icono de “edit”. Hazle click. En la ventana de texto, en una nueva línea agrega 


62.210.136.242-62.210.136.246 


Este es un rango de IPs de prueba de QualysGuard que puedes escanear. De igual 
forma puedes agregar tus propias IPs externas. 


Edit Domain - Windows Internet Explorer y -10/ xf 
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Edit Domain 


General Information 


Domain Name: * [none 


Associated Netblocks: 192.168.0.0-192.168.255.255 
62.210.136.242-62.210.136.246 


zi Whois | 
(ex: 192.168.0.87-192.168.0.92, 192.168.10.10-192.168.10.42) 


Approved Hosts 
Create a list of hosts that are approved to appear on this domain. 


Approved Hosts: Configure | 


Save | Cancel | 
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Haz click en "Save". 


En resumen, recuerda que toda IP que quieras mapear y escanear tiene que estar 
incluida en el rango del dominio "none". 


CORRER MAPA DE TODA NUESTRA RED 


El siguiente paso es correr un mapa de toda la red, para descubrir todas las IPs, y en 
base a esto seleccionar aquellas que queramos agregar a nuestra cuenta para 
escanear. En la barra izquierda del menü haz click en "Map". Luego en la barra superior 
de la venta ve a “New”, y luego “Map”. En el campo de "Domains/Netblocks" introduce 


el rango de IPs que quieras mapear. En este caso estamos poniendo el rango de IPs 
de prueba. 
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Option Profile: [Initial Options (default) E] B view 


Select atleast one asset group or domain to map. 
Asset Groups 


Assets from Asset Groups [Y Domains 
I IPs 


Domains / Netblocks [62.210. 136.242-62.210.136.246 


Exampie: foo.com 
foo.bar.com:[192.168.0.1-192.168.0.254] 
10.10.10.10-10.10.10.15 


Por el momento deja el "Option Profile" en el default; luego explicaremos de qué se 
trata. 


Si tu cuenta tiene un appliance asociada, debajo del menü de "Option Profile" verás el 
menü de "Scanner Appliance": 


https://qualysquard.qualys.com/Fo/map/launchMap.php 


Launch Map 


To launch a map selectthe targets you wantto discover and specify the map's settings. 


General Information 


Title: [Mapal 
Option Profile: [Initial Options (default) 7] E view 


| Scanner Appliance: iv] [2 view 


External 
is ndepe sc 


Select at least one asset group or domain to map. 


Target Domains 


| Asset Groups A] *k select 
Assets from Asset Groups M Domains 
| T IPs 
| Domains / Netblocks [;2210136242-82210136246 — *k Select 
Bap: — foo.com 


foo.bar.com:[192.168.0.1-192.168.0.254] 
10.10.10.10-10.10.10.15 


Launch | Cancel | Help | 


En este menú verás tres opciones: "Default", "External", y el nombre de tu appliance. El 
default solo se aplica si el Asset Group que vas a mapear o escanear tiene pre 
asignada un appliance. La opción de "External" se selecciona cuando se vayan a 
mapear o escanear IPs externas, y el nombre del appliance se selecciona cuando se 
vaya a escanear IPs internas. Ten cuidado de seleccionar la opción correcta; si intentas 
mapear o escanear IPs internas con la opción de "External", el mapa o scan correrá, 
pero no encontrará ninguna IP, y el reporte dirá “no hosts found". 


Para lanzar el mapa haz click en "Launch". En la ventana de "Map History" verás el 
status del mapa que está corriendo. Pasará de “queued” (encolado) a “running” y luego 
“finished”. Si le haces click al círculo rojo con la *X", puedes cancelar el mapa. 


Cuando termine el mapa, al lado del nombre de "Mapa?" verás el icono de una lupa, 
que es el símbolo de "View". Haz click para ver el reporte del mapa. Verás la ventana 
de "Map Results": 


[0] https: //qualysguard.qualys.com/fo/report/view_report.php?id=1510262 


Map Results 


File» View» Help» 


Actions: [Add to a new Asset Group y] Apply | 


Reference: map/1257141009.10922 al 
Duration: 00:01:12 

Total Hosts Found: 5 

Scanner Appliance: 62.210.136.199 (Scanner 5.3.46-1, Web 6.7.45-1,Vulnsigs 1.24.38-3) 
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Aquí puedes ver las IPs que respondieron al mapa, su nombre de DNS o NetBIOS, y su 
sistema operativo. 


Para ver la topología de la red en forma gráfica, ve al menü superior de la ventana y 
selecciona "View", y "Graphic Mode". 


o https://qualysquard.qualys.com/Fo/report/view. applet.php?id-1299654 
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Haz click con el botón derecho sobre los iconos de las computadoras para ver a través 
de qué puertos fue descubierta esa máquina. En el menú de arriba a la izquierda, en la 
opción “Select Display”, puedes buscar máquinas en base a varios parámetros. 


Cierra esta ventana para regresar a “Map Results”. Para exportar el diagrama de red a 
Microsoft Visio, ve a la opción de menú “File” y “Download”, y salva el documento en 
XML. Luego, en la ventana principal de QualysGuard, ve al menú de “Help”, 
“Resources”, “Tips and Techniques”. Hasta abajo viene una sección llamada “Viewing 


Map Results in Visio”. Descarga la macro de Visio, y úsala para importar el documento 
de XML del diagrama de red. 


Regresando a la ventana de “Map Results”, selecciona todas las IPs que quieras 
agregar a tu cuenta. Luego en el menú superior donde dice “Actions”, selecciona “Add 
to Subscription” y haz click en “Apply”, "Add", “OK”, “OK”. Recuerda que el 
licenciamiento de QualysGuard es por IP; eso quiere decir que una vez que agregas 
una IP a tu cuenta, ya no la puedes borrar. La ünica excepción es si agregas una IP por 


accidente, o si retiras a una máquina de tu red. Si usas IPs dinámicas en tu red no hay 
problema; el seguimiento lo puedes hacer por DNS o Net BIOS; como lo mostraremos 
más adelante. 


Una vez que hayas corrido scans sobre las IPs, notarás que en los mapas que hagas 
en la ventana de "Map Results", las IPs tendrán una liga, la cual te llevará al record de 
vulnerabilidades de esa IP en particular. 


Cierra la ventana de "Map Results". 


CREAR GRUPOS DE ACTIVOS 


Un grupo de activos, o "asset groups", es un conjunto de IPs con un nombre asignado. 
Nos sirve para mantener las IPs más ordenadas, y correr mapas, scans, y reportes 
sobre los grupos. 


En el menú de la izquierda, haz click en “Host Assets", luego en el menú superior de la 
ventana, haz click en “New”, y “Asset Group...”. 


New Asset Group 


An asset group can include IPs, domains/netblocks, and scanner appliances that exist in your account. 
Asset Group Title 


Title: * Servidores de Prueba 


Owner: * [z z (Manager: manua zz ) +] 


IP Hosts 


Use the selections below to designate which hosts this asset group will contain 


Available IPs: Assigned IPs: 
i 62.210.136.242-62.210.136.246 


<< Remove 
Remove All 


Expand 


View 


Manually... | Asset Group... 


Lv] 
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Ponle título al Asset Group. Si tuvieras más usuarios en tu cuenta, puedes asignarle 
otro dueño al grupo en “Owner”. 


Selecciona las IPs que quieras agregar al grupo en la ventana de “Available IPs", y haz 
click en "Add". Nota que puedes agregar IPs manualmente haciendo click en 
"Manually...", pero asegürate que estas IPs estén presentes en tu cuenta, checando el 
menú de la izquierda, "Host Assets". También puedes agregar un Asset Group a otro 
Asset Group haciendo click en "Asset Group..." 


Arriba del botón de "Add" puedes ver una barra con las opciones "IPs", "Domains", 
"Business Info". Si tu cuenta tiene un appliance asociada, verás también "Scanner 
Appliances". 


Haz click en "Domains". Aquí puedes agregar el dominio al que pertenecen las IPs. Si 
agregas el dominio, puedes lanzar mapas contra el Asset Group. Esto es opcional. 


Si aparece en tu cuenta, haz click en “Scanner Appliances". Puedes asignarle el 
appliance “default” al Asset Group. Así al correr un mapa o scan, al seleccionar como 
appliance la “default”, se usará esta appliance. Esto solo es útil cuando se tienen varias 
appliances. 


Haz click en "Business Info". Aquí puedes determinar cuál sería el impacto de negocios 
(pérdida de confidencialidad, integridad, y disponibilidad de datos) si este conjunto de 
IPs fuera hackeado. Esa variable es usada para calcular la métrica de "Business Risk”, 
la cual veremos más adelante. 


Haz click en “Save”. 


ADMINISTRAR USUARIOS 


En el menú de la izquierda haz click en "User Accounts”, luego en el menú superior ve 
a "New', y luego "User...". Para activar una cuenta nueva, llena los datos del usuario, 
quien recibirá un email de notificación con una liga de activación. 


En "User Role" establece el nivel de privilegios del usuario: 


e Manager: Administra la cuenta, acceso a todas las funciones 

e Unit Manager: Igual que manager pero de una sola unidad de negocios 
(explicadas más adelante) 

e Scanner: Puede lanzar mapas, scans, leer reportes, ver tickets de remediación 

e Reader: Solo puede leer reportes y ver tickets de remediación 

e Contact: Solamente recibe emails de notificaciones cuando terminan de correr 
mapas o scans. Este tipo de usuario no tiene acceso a QualysGuard en sí. 

e Auditor: Solo aparece cuando está habilitado el Módulo de Policy Compliance. 
Tiene privilegios de manager, pero solo para el modulo de Policy Compliance. 


En la ventana de "Available Asset Groups”, puedes restringir el acceso del usuario a 
solo ciertos Asset Groups. El grupo “All” da acceso a todos los grupos de activos y 
todas las IPs, aunque éstas no pertenezcan a un grupo. 


En la esquina inferior derecha, haz click en "Advanced". Aparecerá una barra con las 
opciones "Asset Groups" y "Options". Haz click en "Options". Configura la frecuencia 
con la que el usuario recibirá notificaciones de las vulnerabilidades agregadas, las 
notificaciones de scans y mapas que hayan terminado de correr, y notificación de 
status de tickets. 


CREAR REGLAS DE REMEDIACION 


Una regla de remediación es una regla de negocios que genera tickets en forma 
automática. Cada vez que se corre un scan, si una vulnerabilidad detectada concuerda 
con el parámetro de la regla de remediación, se genera un ticket. De esta forma el 
proceso de trabajo (workflow) de remediación deja de estar basado en reportes en pdf 
y hojas de Excel, y se formaliza en un sistema de tickets 


Antes de crear la regla de remediación, debemos crear un "search list". Un search list 

es un filtro de la base de datos de vulnerabilidades (Knowledgebase), seleccionado en 
base a parámetros como nivel de severidad, o proveedor de software. Las search lists 
pueden ser usadas en reglas de remediación, en scans, y en reportes. 


Vamos a crear una search list que seleccione todas las vulnerabilidades confirmadas y 
potenciales de nivel 1 al 5. En el menü de la izquierda haz click en "Search Lists". 
Luego en el menú superior haz click en “New”, y “Dynamic List”. Ponle como título 
“Severidad 1-5”. Selecciona el cuadro de “Make this a globally available list”, para que 
todos los usuarios de la cuenta tengan acceso a esta lista. Selecciona los cuadros de 
los niveles 1,2,3,4 y 5 de "Confirmed Severity" y "Potential Severity". No agregues texto 
en ningún otro campo, ni selecciones ninguna otra opción. 


New Dynamic Vulnerability Search List 


General Information 
Title: * [Severidad 15 
Owner: * [z z (Manager: manua zz ) y] 
Iv. Make this a globally available list. 
List Criteria 
Select criteria below that defines the vulnerabilities to be included in the search list. 
Vulnerability Title: [C] 
Authentication Type: [^ windows l^ Unix ^ Oracle T^ SNMP 
User Configuration: [^ Disabled [^ Edited 
Category: All m 
Patch Available: [^ Yes l No 
CVE ID: A] 
Vendor Reference: A] 
Buotraq ID: A] 
Modified: BR] PT immidayw)-(mmiddyyw) 
Confirmed Severity: Iv. Level 1 M Level 2 IV. Level 3 IV. Level 4 M Level 5 
Potential Severity: IM Level 1 IV. Level 2 IV. Level 3 IV. Level 4 IV. Level 5 
Information Severity: T^ Level 1 ^ Level 2 F^ Level 3 ^ Level 4 T^ Level 5 
Vendor: All hé 
Product: All hé 
CVSS Base Score: emm (or greater) 
CVSS Temporal Score: [RS (or greater) 
CVSS Access Vector: All ~ 
Vulnerability Details: [ C] y] 
_ _ocno— IO inte a [Ra + z 


En la parte inferior de esta ventana haz click en “Test” para probar el filtro. Si es 
exitoso, cierra la ventana del resultado de la prueba, y haz click en “Save” en la 
ventana de la search list. Ahora, cada vez que usemos el search list “severidad 1-5”, 
nos estaremos refiriendo a todas las vulnerabilidades confirmadas y potenciales de 
severidad 1, 2, 3, 4 y 5 que existan en el Knowledgebase. Si nuevas vulnerabilidades 
con esas características se agregan al Knowledgebase, la search list se actualizará 
automáticamente, ya que es una search list dinámica. También hay search lists 
estáticas. Haz click de nuevo en Search Lists en el menú de la izquierda, y luego 
“New”, y “Static List”. Ponle como título “Detección de Conficker”. Haz click en “Select”. 
En esta nueva ventana, selecciona el menú “Search”. En el campo de "Vulnerability 


Title", escribe “conficker”, y haz click en “Search”. Aparecerán dos vulnerabilidades, la 
QID 1225, y QID 1227. Selecciona ambas y haz click en "OK". Luego en la ventana de 
"New Static Vulnerability Search List”, haz click en “Save”, luego “OK”. Esta lista 
estática la puedes usar para correr un scan para detectar el gusano Conficker. Al usar 
esta lista en lugar de todas las QIDs del Knowledgebase, el scan es significativamente 
más rápido. Al ser una lista estática, no cambia si se agrega contenido al 
Knowledgebase. 


Regresemos a la creación de la regla de remediación. En el menü de la izquierda, haz 
click en "Remediation Policy”, y en el menú superior haz click en “New”, y “Rule...”. 
Ponle como título “Severidad 1-5”. En “Asset Groups”, selecciona el texto “All” y bórralo, 
y luego haz click en “Select” y selecciona el grupo de activos que hayas creado, en 
nuestro caso “Servidores de Prueba”. De igual forma, si comienzas a escribir las 
primeras letras del nombre del grupo de activos, el campo tiene “auto-completion”, y 
aparece el nombre completo del grupo de activos para que lo selecciones. 
Alternativamente, puedes agregar rangos de IPs en el campo de *IPs/Ranges", pero es 
recomendable usar grupos de activos para tener todo en orden. 


Haz click en "Add Lists" y selecciona la lista que creamos, "Severidad 1-5". Después 
en "Assign to", selecciona tu nombre de usuario. 


Title: * [Severidad 1-5 | 


Conditions 


If all of the following conditions are met: 


Hosts: 


Asset Groups: [Servidores de Prueba *k Select 
IPs/Ranges: | *k Select 


Example: 192.168.0.87-192.168.0.92, 192.168.0.200 
Vulnerability: | 


X) Info Title *| Add lists | 
(O (2 Severidad 1-5 
X) Info Title a Clear All | 


Actions 
Perform the following actions 
@ Assign to: [z z (Manager: manua zz ) +] [8 view 
SetDeadline: This ticket must be closed in |7 days (Range: 1-120) | 


C Ignore: Do not create a ticket for these conditions 


Save | Save As... | Cancel | Help | 


| | W| ù| | [p mene [£a + [R10% - 7 


Observa esta ventana y ve todo lo que se puede hacer. Por ejemplo, puedes crear un 
grupo de activos de todos los servidores Linux, y en "Assign to" pones al ingeniero a 
cargo de estos servidores, para que le lleguen los tickets a él. O puedes crear un 
"dynamic search list" que seleccione las vulnerabilidades más graves, de nivel 4 y 5, y 
en "Assign to" le asignas los tickets al ingeniero de remediación con más experiencia, y 
en "Set Deadline" (en cuántos días hay que remediar el problema) le pones 3 en lugar 
de 7. Las reglas de remediación pueden ser muy sofisticadas, y nos permiten generar 
el ticket correcto para la persona correcta, y de esta forma remediar las 
vulnerabilidades más rápido, y estar expuestos a un ataque menos tiempo. 


Haz click en “Save”. En la ventana de "Remediation Policy Rules" aparecerá la lista que 
creaste. Cuando agregues más reglas, éstas se ejecutarán en cascada. O sea que si la 
primera regla crea un ticket en base a ciertos parámetros, la siguiente regla ya no 


creará un ticket si aplica los mismos parámetros. Para cambiar el orden de las reglas, 
haz click en “New”, y luego “Reorder”. 


CONFIGURAR OPTION PROFILE 


Un "option profile" es un perfil de configuración de un mapa o escaneo. Se pueden 
tener varios option profiles, y seleccionar el deseado al lanzar el scan. Lo que vamos a 
hacer ahora es configurar el option profile de default. En el menü de la izquierda haz 
click en "Option Profiles". En la lista, haz click en el icono de editar (cuadernito) a la 
izquierda de "Initial Options (default). En la ventana que aparece, haz click en 
“Advanced”, en la esquina inferior derecha. 


En las secciones de "TCP Ports" y "UDP Ports" puedes ver los puertos estándar que se 
escanean. Son 1,800 de TCP, y 180 de UDP. Se puede configurar para que escanee 
los 65,535 puertos seleccionando "Full", pero esto sería extremadamente tardado, y 
realmente no es necesario. De igual forma, se puede seleccionar "Light" para escanear 
menos puertos, o "Additional" para especificar los puertos a ser escaneados. En este 
caso deja la opción "Estándar Scan”. 


La opción de "Perform 3-way Handshake" puede ser necesario al usar ciertos firewalls, 
pero esta opción hace que el scan sea mucho más lento, por lo que no lo selecciones 
al menos que sea totalmente necesario. 


La sección "Authorative Option” solo es válida para "Light Scan”, por lo que no la 
tenemos que seleccionar. 


En “Scan Dead Hosts”, selecciona "Include dead hosts in scans”, para que si la 
máquina siendo escaneada no responde a pings, aün así sea escaneada. 


En la sección de “Performance”, haz click en “Configure...” Puedes seleccionar varios 
niveles de "Overall Performance”, o sea el nivel de intensidad del scan. Donde dice 
"External Scanners", el nümero indica cuántas IPs externas son escaneadas 
simultáneamente; el nümero en "Scanner Appliances" indica cuántas IPs internas se 
están escaneando simultáneamente. En "Total Processes" y "HTTP Processes" puedes 
ver cuántos procesos por máquina estarían corriendo. La mayoría de los usuarios deja 
el "Overall Performance" en “Normal”, pero si te preocupa, puedes correr los primeros 
scans en un "Overall Performance" más bajo. 


En “Load Balancer Detection", selecciona "Search for load balancers during scan”. En 
"Password Brute Forcing”, selecciona “System”, luego “Standard”. Esto le permitirá al 
scan probar usuarios y contrasefia default. Si quisieras agregar tus propios 
diccionarios, lo puedes hacer seleccionando "Custom". 


En "Vulnerability Detection", deja la opción "Complete". Como ejemplo de uso de listas, 
podrías crear otro option profile, seleccionar “Custom”, y seleccionar la lista estática de 
Conficker que creamos. Al usar ese option profile en un scan, el san solo usaría los dos 
QIDs relacionados con Conficker, por lo que el scan sería extremadamente rápido. 
Pero en este caso deja la opción "Complete". 


En "Authentication" selecciona todos los cuadros. 


En la parte de en medio de la ventana hay una barra con las opciones “Scan”, “Map”, y 
"Additional". Haz click en "Additional". En la sección de "Packet Options", selecciona los 
tres cuadros. Esto es para evitar problemas con algunos tipos de firewalls. 


Haz click en “Save”. Este option profile, “Initial Options (default)”, será el que usarás en 
la gran mayoría de scans. 


CREAR RECORDS DE AUTENTICACION 


Hay dos formas de correr un scan: con autenticación, y sin autenticación. Si se corre 
sin autenticación, entonces QualysGuard escanea los puertos de la máquina, detecta 
los servicios que están corriendo, determina el sistema operativo, y coteja con el 
Knowledgebase si este sistema operativo y servicios corriendo en los puertos tienen 
vulnerabilidades. Por otro lado, si QualysGuard tiene la capacidad de hacer login a la 
máquina, podrá ver todo el software instalado, y determinar si es vulnerable. 


ESCANEO SIN AUTENTICACION 


Vulnerabilities by Severity 


Severity Level 
m 0 Severitu 5 
LE 1 Severitu 4 
O 
O 


0 Severity 3 
3 Severity 2 


& e 5 


Vulnerabilities 


5 4 3 2 1 


Severity Level 


192.168.1.4 


ESCANEO CON AUTENTICACION 


Vulnerabilities by Severity 


Severity Level 
0 Severity 5 


5 Severity 4 


m 

a 

a 4 Severity 3 
o 6 Severity 2 
[a] Mo 


Vulnerabilities 


E 


4 3 2 T 


Severity Level 


192.168.1.4 


En estas gráficas podemos ver un scan contra la misma máquina, el primero sin 
autenticar, y el segundo con autenticación. Es claro que no es una buena opción el 
escanear sin autenticar. 


Ya que las IPs de prueba que vamos a escanear no tienen credenciales de 
autenticación, no crearemos un record. Pero haz lo siguiente para conocer cómo se 
configura un record de autenticación. 


Ve al menú de la izquierda y haz click en “Authentication”, luego en el menú superior de 


la ventana haz click en “New”, “Windows Record”. Verás lo siguiente: 


New Windows Record 


Record Title 


Login Credentials | IPs 


Login Credentials 


Windows Authentication * 
C Domain (service detected IPs): 
f Domain (user selected IPs): 


C Local 
User Name: * 


Password: 


Confirm Password: 


NTLM 
M Enable NTLM Authentication 


pe ^ ^ ^ 4— ^ JJ/ [ll LL] mm PVa-[&ww - 7 


Para poder escanear máquinas Windows con autenticación, hay que hacer una serie 
de cambios de configuración en esas máquinas (esto no se aplica para máquinas 
Linux): 


Activar "server service" 

Activar "file and printer sharing" en la interfase de red 
Desactivar "simple file sharing" 

Activar "remote registry service" 

Permitir administración remota del Windows Firewall 


Qe NN Tt 


Para ver los pasos específicos de cómo hacer esto, ya sea a nivel local, o a través del 
dominio, ve al menü superior y haz click en "Help", "Resources", y "Tips and 


Techniques". Ahí hay un documento titulado "Trusted Scanning for Windows" que 
explica paso a paso el procedimiento. Es importante hacer estos cambios, sino 
QualysGuard no puede autenticarse a las máquinas Windows. 


Después de crear el usuario para QualysGuard en las máquinas a ser escaneadas, 
agregas el dominio, user name, y password. Luego haces click en "IPs", y agregas las 
IPs o grupos de activos para los cuales se aplican estas credenciales. 


Para el caso de Linux es muy similar, excepto que no hay que hacer los cambios de 
configuración requeridos para Windows, y no se requiere indicar el dominio. 


ESCANEAR 


Estamos listos para lanzar el scan. En el menú de la izquierda haz click en "Scan". 
Luego en el menú superior, “New”, y “Scan”. Ponle como título “Scan1”. Deja el “Option 
Profile" como está, en “Initial Options (default)". Si tienes un appliance, verás la opción 
de menú “Scanner Appliance”. Recuerda, para escanear IPs internas selecciona 
“External”, y para escanear IPs internas selecciona el nombre del appliance. El este 
caso vamos a escanear las IPs de prueba externas, por lo que selecciona “External”. Si 
no tienes appliance esta opción de menú no aparece, y solo puedes escanear IPs 
externas. En “Asset Group” selecciona “Servidores de Prueba”. Haz click en “Launch”. 


Verás esta ventana: 


Scan Status (scan/1257218435.7269) 


File View» Help» 


General Information 


| Running IPs Scanned Segment Duration | 
| . 0 00:00:31 | 


er 


Scan Title: Scan1 
Start Date: 11/02/2009 at 21:20:32 (GMT-0600) 
Scanner Appliance: 62.210.136.196 (Scanner 5.3.46-1,Web 6.7.45-1,Vulnsigs 1.24.41-2) 


Scan Progress 


Scan Running On: 


62.210.136.243, 62.210.136.244, 62.210.136.245, 62.210.136.242, 62.210.136.246 


» Option Profile 
» Targets 


pe ^ 24L?DI  ?J0dd/ 20  [1[11[1111[ eme lar [io + 


Conforme QualysGuard vaya terminando de escanear IPs, aparecerá una liga debajo 
de donde dice “Running” que dice "View Vulnerability results", donde podrás ver 
resultados parciales. 


Cuando termine el scan, en lugar de “Running” dirá *Finished". Haz click en "View 
Results". Por otro lado, también puedes ver los resultados del scan en la ventana 
principal de “Scan History”, haciendo click en el icono de “view” (una lupa). Verás algo 
así: 


Scan Results 


File» View Help» 


Detailed Results 


62.210.136.242 (-, DEMO1) Windows XP 


al 


- 


œ Vulnerabilities (16) HE 
^ NN 5 Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (MS03-026) 
^ MEM 5 Microsoft Windows DCOM RPCSS Service Vulnerabilities (MS03-039) 
^ MEME 5 Multiple Microsoft Windows RPC/DCOM Vulnerabilities (MS04-012) 
^ WENEN 5 Microsoft Messenger Service Buffer Overrun Vulnerability (MS03-043) 
^ MIN 5 Microsoft Windows ASN.1 Library Integer Handling Vulnerability (MS04-007) 
^ BENN 5 Multiple Microsoft Windows Vulnerabilities (MS04-011) 
^ NEN 5 Microsoft Windows Server Service Could Allow Remote Code Execution (MS08-067) 
^ WENN 5 Microsoft SMB Remote Code Execution Vulnerability (MS09-001) 
^ HEN 3 NetBIOS Shared Folder List Available 


^ gu 2 NetBIOS Name Accessible 

^ EN 2 FIN-ACK Network Device Driver Frame Padding Information Disclosure Vulnerability 

^ gu 2 Disabled SMB Signing 

^ gu 2 Microsoft Windows NetBIOS Name Service Reply Information Leakage Weakness (MS03-034) 
^W 1 Non-Zero Padding Bytes Observed in Ethernet Packets 


^ NEN 3 Enabled DCOM 
^ NN 13 Microsoft Windows Remote Information Disclosure (MS05-007) | 


- 


Potential Vulnerabilities (7) HE 
) Information Gathered (17) HE] 


62.210.136.243 (-, 2KSERVER-SP4) Windows 2000 Service Pack 3-4 


X 


y Vulnerabilities (34) HE 
^ WENEH 5 Vicrosof Windows DCOM RPC Interface Buffer Overrun Vulnerability (MS03-026) 
^ WENN 5 Microsoft Windows DCOM RPCSS Service Vulnerabilities (MS03-039) 
^ NEN 5 Multiple Microsoft Windows RPC/DCOM Vulnerabilities (MS04-012) 
^ MIN 5 Microsoft Messenger Service Buffer Overrun Vulnerability (MS03-043) 
^ WENEN 5 Microsoft Windows ASN.1 Library Integer Handling Vulnerability (MS04-007) 
^ MEME 5 Multiple Microsoft Windows Vulnerabilities (MS04-011) 
^ NEN 5 Windows Plug and Play Remote Code Execution (MS05-039) 


FT TFT nene Fa-[*19* - 7 


Haz click sobre el texto de la vulnerabilidad para ver el record completo. 

Las vulnerabilidades que aparecen en rojo son confirmadas, y las que aparecen en 
amarillo son potenciales. Las confirmadas es 10096 seguro que existen. En el caso de 
las potenciales, QualysGuard está haciendo una inferencia sobre la posible existencia 
de la vulnerabilidad, pero no podemos estar 10096 seguro que está presente. Pero no 
te confíes, son igual de peligrosas, y debes de remediarlas igual. 

Más abajo aparece la sección de "Information Gathered", que no son vulnerabilidades 
en sí, pero es información visible para un hacker, que puede ser utilizado durante un 
ataque. 


Cuando corras un scan autenticado, en la sección de "Appendix" vendrá una sección 
que diga "Authentication was successful for these hosts", listará las IPs donde 
QualysGuard pudo acceder con el usuario y contraseña especificado en el record de 
autenticación. Por otro lado, si la autenticación falla, ya sea porque el usuario o 
password están mal, o porque no se hizo el cambio de configuración indicado para 
máquinas Windows, o porque el tráfico fue bloqueado, entonces el scan continuará, 
pero sin autenticar. En este caso no aparecerá la sección mencionada. 


Es importante notar que el proceso de remediación no se hace desde este reporte, sino 
desde el sistema de tickets. Puedes cerrar esta ventana. 


REMEDIAR 


En el menú de la izquierda haz click en "Remediation". Estos son los tickets que fueron 
generados por la regla de remediación que creamos; estos tickets fueron creados al 
correr el scan. Se pueden ordenar por varios parámetros. Haz click en el texto 
"Severity" en esa columna para que se ordenen por severidad. Haz click de nuevo para 
que la severidad vaya de más alta a más baja. 


El proceso de trabajo (workflow) de remediación es el siguiente. En la ventana de 
"Tickets", haz click en el icono de "Info", que es un círculo con una “i”, al lado del ticket. 
Esto abrirá el ticket. 


—icketinformation: 000004 55] 


General Information 


Vulnerability: 
Severity Level: 
Authentication: 

IP Address: 

DNS Hostname: 
NetBIOS Hostname: 
Tracking Method: 


State/Status: 
State Age: 
Due Date: 


Owner: 
Created: 


Microsoft Messenger Service Buffer Overrun Vulnerability (MS03-043) 


BEBHB £ 
62.210.136.242 
demo1 

DEMO1 

IP address 


Open 
13 hours 
11/09/2009 


zz (Manager) 
11/02/2009 at 21:20:32 (GMT-0600) 13 hours ago 


Modified By: - 
Modified: 11/02/2009 at 21:20:32 (GMT-0600) 


v Vulnerability Information 


First Detected: 11/02/2009 at 21:20:32 (GMT-0600) Last Detected: 


11/02/2009 at 21:20:32 (GMT-0600) Times Detected:1 
70032 
SMB / NETBIOS 
CVE-2003-0717 
MS03-043 
8826 
03/16/2009 
No 
11/02/2009 at 21:20:32 (GMT- 
0600) 


Microsoft Messenger Service is a Windows service that is responsible for sending and receiving "net send" 
messages. The service also handles any messages that are sent via the Alerter service between client and server 
systems. The Microsoft Messenger Service is not related to MSN Messenger. 


Microsoft Messenger Service is prone to a remotely exploitable buffer overrun vulnerability. The source of the 
vulnerability is insufficient bounds checking of messages before they are passed to an internal buffer. 


e service is evnnsend via NetRINS (norte 137.1301 and RPF (nort 135) E 


EI > 
TY 


En esa ventana haz click en "View", y “Expand All”. Aquí puedes ver toda la 
información relevante de la vulnerabilidad. Incluye una liga a la IP a la cual pertenece la 
vulnerabilidad, donde puedes ver el record de esa IP y qué otras vulnerabilidades 
presenta. También vienen ligas al CVE ID, Vendor Reference, y Bugtraq ID. En la 
sección de "Threat" puedes ver en qué consiste la amenaza. En "Impact" se explica 
cuáles son las consecuencias si se logra explotar esta vulnerabilidad. Y en "Solution" 
se indica cómo remediar la vulnerabilidad. En casi la mitad de los casos, la remediación 
consiste en aplicar un patch. En otros casos hay que hacer algün cambio de 
configuración, o si es una vulnerabilidad "zero day" y no tiene solución, entonces lo 
ünico que podemos hacer es desinstalar ese software, aislar la máquina, incrementar la 
seguridad del firewall, simplemente asumir el riesgo. 


Hasta abajo de esta ventana puedes ver la sección de "Ticket History". Esta es una 
bitácora de todo lo que se haga con este ticket. 


Pretendamos que ya remediaste este problema, y cierra la ventana. Ahora, en la 
ventana principal de "Tickets", hazle click al icono de edit (cuadernito) del mismo ticket. 


Edit Ticket: 000004 


Edit Ticket 


Action: 


No Change 
No Change 
Resolve 

Close-lgnore 


Reassign: 


Comments: 


Cancel | Delete | Help 


[Done [LI TT ù [| [@ Internet [4a [R10% > 7 


En el menú de "Action" puedes ver que hay tres opciones: "No Change”, "Resolve", y 
“Close-Ignore”. Una vez que resuelves el ticket, lo pones como "Resolve". 
Alternativamente, lo puedes ignorar temporalmente poniéndolo como “Close-Ignore”. O 
en el campo de “Reassign”, le puedes asignar el ticket a otra persona. En este caso 
ponlo como "Resolve", y haz click en “Save”. 


Al hacer esto, el ticket deja de aparecer en tu lista de tickets abiertos. Pero no quiere 
decir que hayas cerrado el ticket; de hecho, solo QualysGuard puede cerrar un ticket 
permanentemente. La próxima vez que corras un scan, si QualysGuard detecta que la 
vulnerabilidad efectivamente ya no existe, entonces la pondrá en status “Closed- 
Resolved", o sea ticket cerrado. Por otro lado, si detecta que la vulnerabilidad persiste, 
reabrirá el mismo ticket. 


Al usar el sistema de tickets de QualysGuard, evitamos el desorden de hacer la 
remediación en base a reportes en pdf, enviándoles emails de recordatorio a las 
personas responsables, y mal dándole seguimiento en una hoja de Excel. En el sistema 
de tickets de QualysGuard tenemos todas las vulnerabilidades en orden, asignadas a 


las personas correctas en forma automática, y podemos revistar su status en cualquier 
momento. 


REPORTAR 


En el menú de la izquierda haz click en “Report”. Esta sección se verá diferente 
dependiendo si tienes una cuenta Express o una cuenta Enterprise. En una cuenta 
Express verás esto: 


Report Templates - Windows Internet Explor: -(8/xf 
g v [O https:/¡qualysquard.qualys.com/fojtools/reportTemplates.php+ 


File Edt View Favorites Tools Help 


J Favorites |33 


O Report Templates 
eLvpbpprcc 
(uarysGuarD'ExPRrESS SUITE 
New» Search View» Setup» Help» as zz(manua_22) | Log Out 
(2) Dashboard Actions: [Delete || Apply 1-12 0112 * 
+ Map r Info Edit Run G $. Title y a Type Source User y Modified. 
al dn Lu] | El B O Executive Remediation Report ap Auto System 11/01/2009 
T. G Aj € Ej O Executive Report (M Auto zz 11/01/2009 
[sl] Era Lr | El G O High Severity Report A Auto zz 11/01/2009 
Ail Report E |] E O) Payment Card Industry (PCI) Executive Report MA Manual System 11/01/2009 
E: Remediation m Ll G O Payment Card Industry (PCI) Technical Report YA Manual System 11/01/2009 
7 E ($) Qualys Top 20 Report Auto System 11/01/2009 
d Asset Search uas REOR n ra £ 
mi E IB ($) SANS Top 20 Report Y Auto System 11/01/2009 
OD) Riskanatysis C O Bl € Ej 0 Technical Report @ Auto zz 11/01/2009 
E el B O Tickets per Asset Group ap Auto System 11/01/2009 
Asset Groups nm | El A O Tickets per User dp Auto System 11/01/2009 
User Accounts r | El B O Tickets per Vulnerability ap Auto System 11/01/2009 
Search Lists onn € Ej O Unknown Device Report «P Manual zz 11/01/2009 
Option Profiles T^ Info Edit Run G $ Title ^ Type Source User Modified 
Scanner Appliances 
Host Assets 
Domain Assets 
Remediation Policy 
Authentication 
Business Units 
Virtual Hosts Please click on an item in above datalist to view its preview. 
KnowledgeBase 
Activity Log 
12 of 12 Items Shown, 0 selected 


Si tienes una cuenta Enterprise, para ver una ventana muy similar, ve al menú de la 
izquierda y haz click en “Report Templates”. 


Vamos a correr un Technical Report, que es el más completo. Pero antes de esto, 
vamos a editar la plantilla para que presente más información. Al lado de "Technical 
Report”, haz click en el icono de edit (el cuadernito). En la sección de "Scan Results 
Selection", selecciona "Status with Trend: Analyze vulnerability history". Ya que la mejor 
práctica es correr scans semanales, en el drop-down menu deja la opción "weekly", y a 
la derecha, en lugar de *1 week”, selecciona “20 weeks”. De esta forma, el reporte nos 
mostrará las tendencias históricas de cada scan semanal, durante las ültimas 20 
semanas. 


En “Graphics”, selecciona todas. En “Detailed Results”, deja todo seleccionado, 
incluyendo “Text Summary" y "Appendix". Luego en la barra de menú dentro de la 
ventana, donde dice "Display", “Filter”, “Services and Ports", haz click en “Filter”. Luego 
selecciona en "Potential Vulnerabilities" el cuadro de "Active", y en *Information 
Gathered" también el cuadro de "Active". 


Haz click en “Save”. 


Regresando a la ventana principal de “Report Templates”, puedes ver que hay un icono 
de un mundo. Esto quiere decir que la plantilla es de acceso global, o sea que todos los 
usuarios de la cuenta la pueden usar. 


Para correr el reporte, al lado de "Technical Report”, haz click en el icono de “Run”, y 
verás el reporte técnico, el cual muestra todo tipo de gráficas e histogramas, y luego 
una sección para cada IP con un resumen de la situación, y luego cada una de las 
vulnerabilidades de la IP. A la derecha de la vulnerabilidad puedes ver una cruz roja. 
Haz click para ver el ticket de esa vulnerabilidad. 


Corre por tu cuenta todos los demás reportes para conocer sus características. 


OTRAS OPCIONES DE MENU 


En el menú de la izquierda, haz click en “Asset Search”. En esta ventana puedes hacer 
büsquedas de equipos en base a varios parámetros. Es importante notar que la 
búsqueda no se hace en vivo sobre la red, sino que la búsqueda es sobre la base de 
datos de QualysGuard, en base a los resultados del ültimo escaneo. Esto hace que la 
büsqueda sea extremadamente rápida, pero por otro lado tienes que asegurarte que se 
haya corrido un scan recientemente, sino la información sobre la red pudo haber 
cambiado. 


En el menü de la izquierda haz click en *Risk Analysis". En esta ventana puedes hacer 
una büsqueda rápida de una sola QID en contra de un grupo de activos o rangos de 
IPs. De nuevo, esto no es un scan, sino una büsqueda de la base de datos del ültimo 
scan realizado. Esta función es útil si te das cuenta que hay una nueva vulnerabilidad 
en el Knowledgebase, y quieres saber rápidamente si estás expuesto a esa 
vulnerabilidad, sin tener que esperar a correr un scan. 


CONCLUSION 


Esto concluye el tutorial del módulo de Vulnerability Management de QualysGuard. 
QualysGuard tiene varias otras funcionalidades menores, pero con lo que has 
aprendido, puedes iniciar tu piloto o proyecto de administración de vulnerabilidades. 


